OCI HA 设置更新,其中“域”构造在 OCI 控制台的“身份”下引入

OCI HA 设置更新,其中“域”构造在 OCI 控制台的“身份”下引入

5923
Created On 07/26/24 21:27 PM - Last Modified 08/14/24 01:41 AM


Symptom


最近,OCI 进行了更改,在“身份”下引入了“域”构造。 要使 OCI 中的 HA 正常工作,我们现在需要创建:
- 身份
中的域 - 域内具有匹配实例 ID 的
动态组 - 允许域中的动态组访问实例系列和虚拟网络系列资源

的策略 HA 功能将不起作用,并且辅助 IP 地址将不会从主防火墙移动到辅助防火墙,如果不处理这些更改。 

如果客户遵循当前文档:https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci 那么在执行步骤 3 时,他们将遇到错误
 

Environment


OCI
上的 HA 中的 PA-VM 防火墙 任何 PAN-OS 版本

Cause


最近,OCI 进行了更改,在“身份”下引入了“域”构造。 要使 OCI 中的 HA 正常工作,我们现在需要创建:

- 身份
中的域 - 域内的动态组,具有匹配的
实例 ID - 允许域中的动态组访问实例系列和虚拟网络系列资源的策略 如果未创建域,并且策略允许域中的动态组访问实例系列和虚拟网络系列资源

,则客户可能会遇到以下错误:

2024-07-24 00:35:44.210 -0700 信息:VHST_passive Http 错误:404 客户端错误:未找到 url:https://iaas.us-ashburn-1.oraclecloud.com/20160918/vnicAttachments?

2024-07-24 00:35:44.210 -0700 信息:VHST_passive移动辅助 IP 失败 - 无法获取对等方的 VNIC 附件。 Err: HttpError

如果他们遵循当前文档:https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci 那么在执行步骤 3 时,他们将面临错误

Resolution


根据当前文档的步骤 3 A:https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci 如果未在 OCI 中创建域,则在创建动态组之前,请转到 OCI 中的身份>域来创建域
 

在 OCI 控制台上:

- 转到“身份与安全性”,然后在“身份”下选择“域”:


- 单击“创建域”并指定显示名称,然后选择区间:

截图 2024-07-23 在 5.55.07 PM.png


- 按照文档 https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci 的第 3 步 A 创建动态组并添加规则

- 在文档的步骤 3-B 中:按以下方式 https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-ociwrite 策略,包括域名和动态组名,以便动态组访问 instance-family 和 virtual-network-family,如下所示:

- 将步骤 3-B-3 从允许 dynamic-group <dynamic_group_name> 在区间 <compartment_name>中使用 virtual-network-family,以

:允许 dynamic-group '<domain name>'/'<dynamic_group_name>' 在区间 <compartment_name>

中使用 instance-family- 将步骤 3-B-5 从允许 dynamic-group <dynamic_group_name> 在区间 <compartment_name>中使用 instance-family-更改为: 

允许 dynamic-group '<domain name>'/'<dynamic_group_name>' 在区间 <compartment_name>中使用 instance-family

屏幕截图 2024-07-26 在 2.24.56 PM.png
策略示例片段

Additional Information



https://docs.paloaltonetworks.com/vm-series/11-1/vm-series-deployment/set-up-the-vm-series-firewall-on-oracle-cloud-infrastructure/configure-activepassive-ha-on-oci https://www.youtube.com/watch?v=2e7czJanMTQ
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u0000010zJOCAY&lang=zh_CN&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language